路由器隱患:一台被感染成僵屍主機 就會組成僵屍網絡

　　物聯網迅猛發展，安全隱患也如影相隨您家的路由器安全嗎（關注）

　　人民日報 本報記者 喻思南

WiFi如果存在重大安全漏洞，幾乎能影響所有無線設備。人民視覺

　　如今，我們的生活越來越智能，萬物互聯時代悄然來臨，小至路由器、智能音箱、冰箱，大到汽車、工業設備，越來越多的物品都接入了互聯網。然而，迅猛發展的物聯網（是指物物相連的互聯網，即以互聯網為基礎，用戶端延伸和擴展到了任何物品與物品之間）在給人們帶來便利的同時，安全隱患也如影相隨，成為物聯網產業發展的一個痛點。

　　不久前，《2017物聯網安全年報》（以下簡稱《年報》）由北京神州綠盟資訊安全科技股份有限公司（以下簡稱“綠盟科技”）發布，顯示了我國物聯網安全的現狀、特點以及面臨的主要安全風險。

　　安全隱患知多少

　　一台設備被感染成為“僵屍主機”，就會“傳染”其他設備，組成大規模的物聯網“僵屍網絡”

　　現在路由器成了很多家庭的“標配”，大多數路由器通過IPv4地址單向連接互聯網，外部網絡無法反過來主動訪問。但以路由器為代表的物聯網設備數量眾多，還有大量路由器不能被完全屏蔽，存在被外面“看見”的風險。《年報》顯示，目前具有安全風險的物聯網設備中，路由器和影片監控設備暴露在互聯網上的數量最多。比如，國內暴露在互聯網上的路由器就超過1000萬台。這些暴露出來的設備，一旦存在漏洞，就有被攻擊的風險。

　　綠盟科技物聯網安全實驗室研究員張星說，近年來許多新型智能設備接入互聯網，但安全風險仍然集中在相對傳統、應用比較成熟的設備上，它們也是感染惡意代碼的主要物聯網設備。

　　《年報》還監測到，一些數量較少的物聯網設備也存在安全隱患。比如，商用車的遠程通信統一網關、網絡恆溫器等可能面臨遠程登錄無密碼保護、設備停產缺乏安全維護等風險。不單是硬體，《年報》指出，物聯網一些常用的作業系統同樣存在不同程度的安全問題。

　　很多物聯網設備通過雲端連通，而長時間連接雲服務，安全隱患將會增加。

　　“現實中，很多物聯網設備工作場景不得不長期和‘雲’連接。伴隨著物聯網應用的深入，雲服務將更加普遍。我們監測到，一些攻擊者已經把目光從網頁和郵件等傳統服務轉向新興的物聯網服務。” 綠盟科技首席架構師楊傳安說，大數據時代，網絡攻擊的目的性更強，攻擊的技術手段增多、技術更高、更隱蔽，黑客可能為了利益，而對物聯網雲服務實施攻擊。

　　楊傳安認為，物聯網由多種設備組成，互聯互通的環境使得安全風險快速擴散和傳播。因此，要從整體全局考慮安全防護。某個物聯網設備存在安全隱患，並不只影響單個設備，還可能引發系統性的安全事件。

　　比如，某些設備中存在的弱口令、已知漏洞等風險，可能被惡意代碼感染成為“僵屍主機”。一方面，這些被感染的設備會“傳染”其他設備，組成大規模的物聯網“僵屍網絡”；另一方面，它們接受並執行來自控制伺服器的指令後，一旦發動大規模DDoS（分布式拒絕服務）攻擊，將會對互聯網基礎設施造成嚴重的破壞。

　　對物聯網安全重視不夠

　　當前不少物聯網設備生產廠商側重追求新功能，對安全重視不足

　　物聯網正加速融入人們的生產生活。知名IT谘詢機構高德納谘詢公司（Gartner）預測，2015年至2020年，物聯網終端年均複合增長率將達到33%，安裝基數將達到204億台，其中2/3為消費者應用。

　　哈爾濱工業大學電腦學院教授張偉哲介紹，當前主流的物聯網管理模式有直連模式、網關模式和雲模式。直連模式是指管理端與終端之間不經過其他節點直接相連，這種模式一般用於近距離通信，例如無線藍牙、WiFi熱點等；網關模式主要用於家庭和企業局域網，一般用於近距離管理多個終端；雲模式是指用戶通過雲服務管理各種設備，其特點是突破了設備管理的地理區域限制，比如智能家居和工業雲服務。

　　“不論在哪種模式下，目前都難以完全杜絕安全隱患。作為一種新技術，物聯網的行業標準以及相關管理剛剛起步，但物聯網基數大、擴散快、技術門檻低，已經成為互聯網上不得不重視的安全問題。”張偉哲說。

　　2017年8月，浙江某地警方破獲一個犯罪團夥，在網上製作和傳播家庭攝影頭破解入侵軟體。查獲被破解入侵家庭攝影頭IP近萬個，涉及浙江、雲南、江西等多個省份。安全專家表示，一旦攻擊者獲得遠程控制權限，即便是小小的攝影頭也能夠成為泄露用戶隱私的元凶。

　　360無線電安全研究院負責人楊卿表示，不少物聯網設備需要依賴WiFi、藍牙、GPS衛星導航等無線電通信技術，一旦某個通信協定出現漏洞，將會引發大量安全問題及安全事故。比如，惡意WiFi熱點可能設定釣魚網站，攝影頭、麥克風可能泄露人們隱私等。

　　《年報》認為，物聯網安全問題突出，反映了當前不少物聯網設備生產廠商對安全重視不足。“物聯網設備常見脆弱點有硬體接口暴露、弱口令、資訊泄露、未授權訪問等，這些安全問題技術水準並不高，如果有安全團隊協助做工作，是可以防患於未然的。”楊傳安說。他認為，對一些設備生產廠商來說，往往側重追求新功能而忽略安全性。物聯網設備基數龐大，加上安全防護脆弱，物聯網威脅將逐漸成為互聯網的常態。

　　張星說，無論是更新、配置還是補丁維護等，物聯網行業都非常薄弱。當前對物聯網的攻擊手段與傳統的手段並無不同，只是它們在物聯網領域找到了發揮太空。比如，網絡嗅探、遠程代碼執行、中間人攻擊等，都是傳統攻擊手段在物聯網場景中的應用。

　　物聯網安全如何防控

　　大流量攻擊在未來將成為常態，每個物聯網參與方都應針對性地部署防護措施

　　楊傳安說，在大數據時代，任何一點安全風險都可能被放大，造成個人資訊泄露、財產損失甚至人身安全等問題，給人們生活和社會運行帶來影響。

　　“物聯網的安全威脅遠未見頂，物聯網應用的最終追求是萬物互聯，實現資訊共享，並通過搭建高度自動化和智能化的系統，為人們的日常生活提供便利。隨著物聯網在社會生活中的普及，應用場景不斷豐富，安全風險也將隨之增加。”楊傳安說。

　　《年報》認為，物聯網的DDoS大流量攻擊在未來將成為常態。這是因為物聯網設備增多帶來規模效應，最直接的負面影響就是攻擊者發起DDoS攻擊應用將變得更加容易。安全專家表示，從實施的難度、運營的成本、風險與收益來看，DDoS攻擊是一種有效的攻擊形式，在相當長的時間內，仍將是一種常見的攻擊方式。

　　《年報》分析，當前，物聯網應用還較新，在監管機構頒布相關法律法規前，廠商缺少動力將安全置於整個產業鏈中。

　　“從當下的市場環境看，廠商強調智能化的功能設計，求新求快是物聯網行業中的主流，安全反倒是可有可無的選項，這讓物聯網環境更加具有脆弱性。”楊傳安說。

　　綠盟科技物聯網安全解決方案總監劉弘利說，應對物聯網安全問題，涉及物聯網設備提供商、物聯網平台提供商、網絡提供商和普通用戶等多個參與方，每個環節、每個參與者都應有所作為。

　　劉弘利建議，不同的物聯網參與方可根據自身特點，有針對性地部署防護措施：物聯網設備提供商要保障終端安全，引入安全開發流程提升終端安全性，並在產品上市前進行安全評估；物聯網平台提供商應重點關注平台安全和設備、移動端與自身的連接是否安全。因為在平台安全中，物聯網終端數據大多包含隱私資訊，數據安全變得尤為重要。

　　“無論是家庭還是企業用戶，都應把安全作為一個重要的關注點。選購產品時優先考慮採用有安全網關的產品。”劉弘利說。他還建議，用戶在購買智能產品後，應該盡可能修改初始口令以及弱口令，加固用戶名和密碼的安全性。同時，修改默認端口為不常用端口，增大端口開放協定被探測的難度，並及時更新設備韌體。

責任編輯：陳永樂